PHP 5.2.7 以前で display_errors = On になっている場合、エラーメッセージに任意のスクリプトを実行される問題があったそうです。 参考 JVN#50327700 PHP におけるクロスサイトスクリプティングの脆弱性 (JVN) JVNDB-2008-000084 PHP におけるクロスサイト…

mbstring 関係の関数で HTML エンティティを含むユニコード文字列を変換をした場合に buffer overflow を起こす可能性があるそうです。 影響を受けるバージョン: PHP 4.3.0 以降、PHP 5.0.0 以降 修正されたバージョン: PHP 5.2.7 および PHP 5.3.0 alpha 3(…

第38回 PHP 勉強会の id:hnw さんの発表資料を読んでみました。 http://d.hatena.ne.jp/hnw/20081220PHP はバージョンごとに細かい仕様変更、修正があることが多いので、できる限り前バージョンをそろえるのには同意です。例として、strtotime() の問題につ…